更快交付軟件產(chǎn)品意味著更多的開源組件
正如451 Research在其簡報中指出的那樣�����,應(yīng)用程序需要更快推出市場��,迭代更加頻繁���,這種趨勢將持續(xù)下去。在這些應(yīng)用程序中使用開源組件已經(jīng)屢見不鮮?,F(xiàn)在的開發(fā)人員在軟件開發(fā)生命周期的任何階段都可以方便地使用到第三方編寫好的免費代碼, 可以盡快交付軟件成品����。
然而這種趨勢在并購交易中會有雙重的擔憂:公司必須了解他們并購回來的軟件中使用了哪些開源組件及其數(shù)量�,以評估是否存在知識產(chǎn)權(quán)風險�����;另外�����,他們必須了解交易前的風險狀況����,以保護投資回報率��,并計算交易后所需的補救成本���。
OSSRA報告顯示了:
- 96%被掃描的應(yīng)用中存在開源組件����,每個應(yīng)用中平均有 257個開源組件
- 2017年經(jīng)過審計的代碼庫中有85%存在許可證沖突或者未知許可證
- 78% 被檢查的代碼庫中至少包含一個漏洞�����,每個代碼庫平均包含 64個已知漏洞
安全漏洞產(chǎn)生的實際成本
舉個例子會更加清楚這一點��。想象一下�����,有家公司在收購Equifax,但是沒有進行開源檢測���,那后果會怎樣��?Equifax由于安全漏洞問題導致了超過1.4億人的個人數(shù)據(jù)遭到泄露��,這已經(jīng)不是什么秘密�。這是由于Apache Struts框架中未修補的開源漏洞造成的后果�。到目前為止,這個安全漏洞已經(jīng)讓Equifax蒙受超過4億美元的損失��,并且負面影響遠不止于此?�,F(xiàn)在���,我們再大膽想象一下: GDPR(《通用數(shù)據(jù)保護條例》)生效后�����,如果歐洲發(fā)生這種情況怎么辦���?那么這次收購對投資回報率會有怎么樣的影響�����?
黑鴨子軟件和451 Research公司的研究都一致指出:開源的增長勢頭在短時間內(nèi)不會放緩。因此����,并購方評估所收購的軟件是否安全的難度加大,在全面了解投資風險上也面臨更大的挑戰(zhàn)���。
